Vulnerabilidade no Protocolo SSLv3 (POODLE)

Vulnerabilidade no Protocolo SSLv3 (POODLE)
 
Protocolo SSLv3

O protocolo SSLv3 foi lançado em 1996, ele foi o único e bem-sucedido de sua família, uma vez que a versão 1 não chegou a ser lançado por terem sido detectados problemas de vulnerabilidade antes de seu lançamento e a versão 2 não durou nem um ano em produção, devido a instabilidades foi rapidamente substituída pela versão 3.

Problema
Na última semana após 18 anos de uso foi detectada uma vulnerabilidade grave, tal vulnerabilidade possui o nome de Poodle (Padding Oracle On Downgraded Legacy Encryption), e nela é possível que o tráfego entre o cliente e o servidor seja interceptado, captando os coockies do cliente e revelando dados que deveriam estar trafegando de forma segura.
Para saber se seu site está vulnerável a esse ataque basta efetuar uma consulta no endereço:
https://www.ssllabs.com/ssltest/
 
Solução
A forma de se livrar deste problema é desativando o suporte a esse protocolo nos servidores onde estão configurados o uso de conexões seguras por HTTPs, desativando o suporte aos protocolos SSL e mantendo ou acrescentando o suporte aos protocolos TSL.
 
Desativar no NGINX:
Para desativar o SSLv3 no Nginx basta tirá-lo da configuração ssl_protocols.
Entre no arquivo de configuração onde está configurado o seu portal seguro (https) e o seu certificado de segurança, procure e modifique a linha ssl_protocols, caso ela não exista acrescente logo abaixo de ssl on da seguinte forma:
ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;

Após isso recarregue as configurações do nginx:
/etc/init.d/nginx reload
 

Desativar no Apache:
Para desativar o SSLv3 de um servidor Apache, é necessário ir na configuração do SSL (ssl.conf) e explicitar que serão removidos o suporte aos certificados SSLv2 e SSLv3:

Arquivo ssl.conf em distribuições Debian/Ubuntu:
/etc/apache2/mods-available/ssl.conf

Arquivo ssl.conf em distribuições RHEL/CentOS/Fedora:
/etc/httpd/conf.d/ssl.conf

Localize a linha SSLProtocol, caso não exista acrescente com as informações abaixo:
SSLProtocol All -SSLv2 -SSLv3

Cheque se as configurações estão corretas:
apachectl configtest

Reaplique as configurações do Apache:

Distribuições Debian/Ubuntu
/etc/init.d/apache2 reload

Distribuições RHEL/CentOS/Fedora
/etc/init.d/httpd reload
 
Desativar no Elastic Load Balancer:

  • Entre no Load Balancer onde está instalado o seu certificado.
  • Clique na aba Listeners.
  • Na opção Cipher clique em Change.
  • Marque a Opção Custom Policy
  • Desmarque: Protocol-SSLv2 e Protocol-SSLv3
  • Habilite: Protocol-TLSv1Protocol-TLSv1.1Protocol-TLSv1.2
  • Clique em Save.

 
Orientações a usuários finais:
Você como usuário final também precisa se prevenir para não utilizar esse protocolo, para isso mantenha seus navegadores sempre atualizados, pois nas próximas versões o suporte a esse protocolo será definitivamente sepultado, caso você utilize o Windows e tenha preferência por utilizar o Internet Explorer, opte sempre pela ultima versão do mesmo e certifique de que todos os pacotes de segurança do Windows foram instalados pelo Windows Update.

Gostou do conteúdo? Tem alguma dúvida? Entre em contato com nossos Especialistas Mandic Cloud, ficamos felizes em ajudá-lo.



Serviços e Plataformas Cloud